5.4. コンテンツセキュリティーポリシー (CSP)

ディレクティブタイプ

サポートされているディレクティブタイプには、DefaultSrc、ScriptSrc、StyleSrc、ImgSrc、FontSrc があります。これらのディレクティブを使用すると、プラグインにさまざまな種類のコンテンツを読み込むための有効なソースを指定できます。ディレクティブタイプによって果たす目的が異なります。たとえば、ScriptSrc は有効な JavaScript ソースを定義し、ImgSrc はイメージを読み込む場所を制御します。

値

各ディレクティブには、許可されるソースを表す値のリストを含めることができます。たとえば、ScriptSrc では複数の外部スクリプトを指定できます。これらの値は 1024 文字に制限されており、空白、コンマ、セミコロンを含めることはできません。また、一重引用符で囲まれた文字列とワイルドカード文字 (*) は使用できません。

ポリシーの統合

Red Hat OpenShift Service on AWS Web コンソールは、すべての有効な ConsolePlugin カスタムリソース (CR) にわたる CSP ディレクティブを集約し、独自のデフォルトポリシーとマージします。結合されたポリシーは、Content-Security-Policy-Report-Only HTTP レスポンスヘッダーによって適用されます。

検証ルール